Mehr Sicherheit im Backend: Google Authenticator für WordPress nutzen

Um Angriffe auf dein WordPress-Backend abzuwehren, kannst du eine sogenannte Zwei-Faktor-Authentifizierung nutzen. Google stellt eigens dafür den hauseigenen Authenticator nicht nur für Android zur Verfügung.

Im nachfolgenden erkläre ich, wie du den Google Authenticator nutzt, um deinen WordPress Login zu schützen.

So funktioniert der Google Authenticator für WordPress

Mit dem Google Authenticator fügst du der Eingabemaske deines WordPress Logins ein zusätzliches Feld hinzu, welches die zufällig generierte Passnummer der Google Authenticator App verlangt. Hierfür benötigst du folglich ein Android oder iOS-Gerät mit Internetverbindung.

Dieser zusätzliche Schutz verhindert vor allem sogenannte Brute-Force Angriffe auf deinen Login-Bereich, da der generierte Code nur einige Sekunden gültig ist.

Schritt 1: Google Authenticator auf dem Smartphone installieren

Die entsprechende App ist unter anderem für iOS-Geräte und Android verfügbar. Installiere die etwa 2MB große App auf eurem Smartphone und wechselt zu Schlüssel eingeben.

Google Authenticator in WordPress nutzen: App einrichten

Schritt 2: Google Authenticator Plugin für WordPress installieren

Wechsel zu deiner WordPress-Website und installiert das Google Authenticator Plugin aus dem Plugin-Verzeichnis. Das Plugin funktioniert auch noch unter WordPress 4.

Schritt 3: Das WordPress-Profil anpassen

Nun musst du die Verwendung des Google Authenticators für dein WordPress-Profil aktivieren. Navigiere hierfür zu Benutzer – Dein Profil und aktiviere den Authenticator im hinzugefügten Einstellungsbereich deines Profils.

Google Authenticator in WordPress einrichten: WordPress Plugin

Aktiviere das Plugin mit einem Haken und gib den angezeigten Geheimschlüssel nun auf deinem Smartphone ein.

Google Authenticator WordPress Tutorial

Abschluss: Zusätzliches Login-Feld

Du findest nun in deinem WordPress-Login ein zusätzliches Feld und darfst deinen Authenticator nun bei jedem Login eingeben.

Google Authenticator für WordPress: Zusätzlicher Login

[notification type=“alert-warning“ close=“false“ ]Lege unbedingt eine Sicherung deines Geheimschlüssels an und denke daran, dass der Authenticator nur für deinen Benutzer gilt – Ebenso wenig ersetzt der Authenticator ein sicheres Passwort![/notification]

Extra: Google Authenticator ohne Handy nutzen

Auf Google+ kam die Frage auf, ob man den Authenticator auch ohne entsprechendes Smartphone nutzen kann.

Google Authenticator ohne Handy nutzen

Hierfür hat sich ein Niederländer auch Gedanken gemacht und stellt dafür eine Browserversion des Google Authenticators zur Verfügung.

[button style=“btn-default btn-lg btn-block“ icon=“glyphicon glyphicon-lock“ align=“left“ type=“link“ target=“true“ title=“GAuth im Browser“ link=“http://gauth.apps.gbraad.nl/“]

Diese Version kann übrigens auch mit Internetfähigen Handy verwendet werden. (Blackberry etc.)

Authenticator – sinnvoll? Ich finde schon.

Nutzt Ihr selber den Authenticator? Wenn ja, welche Erfahrung habt ihr mit diesem gemacht? Ich freue mich über eure Meinungen!

In eigener Sache: Facebook-Gewinnspiel

[notification type=“alert-success“ close=“false“ ]Unter allen Facebook-Fans verlose ich einen 20€ Gutschein für ebook.de!

Kein Mindestbestellwert!

Dort gibt es auch gedruckte Bücher, eBooks für Kindle und im .PDF-Format. Einfach meine Facebook-Seite „liken“.

Losung ist der 14.10.2014. um 15:00 Uhr – Verfasst einen Kommentar, wenn Ihr mitgemacht habt.

[easy-share buttons=“no“ counters=0 native=“yes“ show_fblike=“yes“]
 [/notification]

7 Antworten auf „Mehr Sicherheit im Backend: Google Authenticator für WordPress nutzen“

  1. Das ist mal ein sehr interessanter Ansatz. Aber funktioniert wohl leider nur mit Handy? Ich werde mir das gleich mal notieren und bei meinem ersten richtigen Blog ausprobieren, ob das wirklich so gut klappt, denn vor Angriffen habe ich persönlich bei einem eigenem System am meisten Angst (wahrscheinlich wird mein Blog aber so klein und unbedeutend sein, dass er selbst als Angriff zu uninteressant wäre).

    Danke für Deinen Tipp, dein Blog ist wirklcih sehr informativ, ich gehe mal weiter schmökern und lernen.
    LG
    Jorge

    1. Hallo Jorge,

      vielen Dank für deinen Kommentar!

      Grundsätzlich gilt: Wer sichere Passwörter wählt und aufpasst, ist erstmal – gerade bei neuen Projekten – auf der sicheren Seite.

      Und tatsächlich funktioniert der Authenticator nur mit einem Handy, das stimmt. Müsste aber auch über Tablets laufen.

      Ich helfe dir gern, falls du Hilfe bei deinem Blog brauchst!

      Grüße,
      Pascale

  2. Hi Pascale,
    also wenn ich dich richtig verstehe, muss ich dann den Google Authenticator für jeden User extra frei schalten.
    Ich weiß jetzt nicht, ob das bei meinen Schreiberlingen so gut ankommt.
    Für den Adminzugang wäre es aber sicherlich sinnvoll.

    Detlef

    1. Hallo Detlef,

      Du gibst den Benutzern nur die Möglichkeit, den Authenticator zu verwenden. Wenn die das nutzen, ist gut, wenn nicht, ist das halt Ihre Sache.

      Hauptsächlich die Admin-Accounts werden damit direkt geschützt.

      Grüße,
      Pascale

  3. Hallo Pascale, ich habe das Plugin installiert und aktiviert, nun komme ich selber nicht mehr in mein Backend. FEHLER: Der eingegebene „Google Authenticator“-Code ist falsch oder abgelaufen. Hast du einen Vorschlag, woran das liegen kann?

    1. Nein, habe ich nicht. Aber benenne einfach mal das Plugin-Verzeichnis des Google-Authenticator-Plugins um und es sollte wieder funktionieren 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.